דחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!
-
@משחזר-מידע איזה רמה של סיסמה טוב לך?
-
-
@משחזר-מידע
איזה סוג קובץ? -
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsx -
@yossiz אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
@משחזר-מידע אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
מישהו יכול להלות כאן קובץ דמו מוגן עם סיסמא (לא מותקן לי אופיס)?
בבקשה:
superduperencrypted.xlsxכמה תווים ואיזה סוג תווים?
-
@yossiz אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
בבקשה:
תודה
רק רציתי לראות באיזה הצפנה מדובר<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <encryption xmlns="http://schemas.microsoft.com/office/2006/encryption" xmlns:p="http://schemas.microsoft.com/office/2006/keyEncryptor/password" xmlns:c="http://schemas.microsoft.com/office/2006/keyEncryptor/certificate"> <keyData saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm="SHA512" saltValue="MJXPjFaEW7owXFz2jgRHZg=="/> <dataIntegrity encryptedHmacKey="V2f0i/GwT1kTSN8eBLZiDKd6MNvLn0Jh/aZyz1GZxrAy0F4z+4ykX3083e92VisvFEuRWLv7WwMuVPNnGbx3nA==" encryptedHmacValue="8Yu+ucZf6OrWxETJA3LtsyjCsS2934KEQAiF0N/6T8sPD7hxPs0wedsQ9zfm/1/yVR/RHHlsByKbz+7kfbFEaQ=="/> <keyEncryptors><keyEncryptor uri="http://schemas.microsoft.com/office/2006/keyEncryptor/password"> <p:encryptedKey spinCount="100000" saltSize="16" blockSize="16" keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm="SHA512" saltValue="Y1mZb5Wl6o9qfZLRvF23kg==" encryptedVerifierHashInput="yKgak6CNNunhfJB+ZS81NA==" encryptedVerifierHashValue="wYSbf6hAtLmhLM3WsCns4YIwHymMAi1gTL+bKd+J8mni43prRzTvQHhg4d/0U6twxzIC81aNPGhDIzPULlfbHw==" encryptedKeyValue="ldQh7ILMz8gSMQUhtqwFeT477LFYvqrIuYwJbNufIsI="/> </keyEncryptor></keyEncryptors></encryption>
-
@משחזר-מידע והמידע באמת מרשים, 10 אלף spincount...
אוקי, כעת מה אתה אומר? הFBI יצליח או לא? -
-
@dovid
תכלס החכמתי הרבה מהנושא הזה
כך שאני בדרך להתייאש ......
הסיכוי שאני יזכור את הסיסמה הוא קרוב לאפסי כי זה מלפני איזה 3 או 4 שנים...@משחזר-מידע
הרבה תודה שהחכמתם אותי@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
אוקי, כעת מה אתה אומר? הFBI יצליח או לא?
נראה שהיחידים שאולי יכולים לפרוץ זה מייקרוסופט בעצמם אבל למה שיפרצו לי...
-
@dovid אמר בדחוף!!! לא זוכר את הסיסמה של הקובץ אקסל!!:
אז 20 סיסמאות לשניה זה הרבה.
שמעת על rainbow ?
-
@משחזר-מידע בשביל זה יש saltSize="16"...
-
@yits
בהצפנה לוקחים את הקלט (הקובץ וורד למשל) ועושים לו שינויים רבים (להלן הצפנה) בהתאם למפתח שאמור להיות הסיסמה.הסיסמה לא משמשת ישירות כמפתח
יש שתי סיבות שלא מצפינים ישירות בסיסמת המשתמש:
א. היא נורא קצרה - כדי שיהיה קשה לפענח את התוצאה המוצפנת נדרש שמפתח ההצפנה לא תהיה קצרה, במקרה שלנו למשל משתמשים במפתח בגודל של 32 תווים (keyBits="256"
).
ב. היא מצומצמת מאוד באקראיות שלה (משתמש מחשב רגיל יכול להקליד אותיות ולא כל צירוף סיביות, כמו"כ הוא בוחר בד"כ רק באותיות השמישות).הערבול, ומספר הערבולים
לכן עושים משהו פשוט. לוקחים את הסיסמה של המשתמש, ושמים אותה במיקסר רציני, שמוציא ממנה משפט ארוך ארוך של תווים.
קוראים לפעולה הזו hash, יש לזה הרבה אלגוריתמים כמו הMD5 המפורסם (כלי אונליין להמחשה). במקרה שלנו זה SHA512 (hashAlgorithm="SHA512"
).
הhash ברוב נפלאותיו מייצר טקסט ענק מכל פיסת מידע הכי קטנה, והטקסט הזה שונה לחלוטין על כל שינוי הכי קטן בפיסה המקורית.
הhash פותר את שני הבעיות:
א. הוא ארוך בהרבה מהסיסמה הרגילה
ב. כל שינוי בסיסמה יוצר hash שונה לחלוטין כך שמקוריות הכי קטנה של המשתמש מתורגמת לאקראיות רחבה יותר.למי שמנסה לנחש סיסמה כל זה לא משנה כלום. הוא פשוט מנסה לנחש את הסיסמה הקצרה של המשתמש, ואח"כ מעביר את זה את הערבול המתאים ושלום. אבל למי שמנסה לנחש את התוכן מתוך ההצפנה, האורכים האלה הופכים את זה לבתי אפשרי.
פעולת הניחוש
בא נדבר כעת על מי שמנסה לנחש סיסמה. הניחוש נשען על כך שהמשתמשים ברובם בוחרים סיסמאות קלות להחריד כמו 123456 או במקרה המחמיר Abc123. כעת רק צריך לנחש סיסמה אחרי סיסמה (ולעביר אותה ערבול כזכור) עד שמגיעים לסיסמה ה"מקורית" המתאימה.
אז אנו רוצים לגרום למי שמנסה לנחש שלא יהיה לו קל. גם ככה קצת קשה לו, כי לנסות כל פעם סיסמה ולהעביר אותה ערבול זה סרבול (ערבול = סרבול :)).
אז כדי להקשות עליו עוד יותר אנחנו קובעים שלא די בערבול בודד. יש לערבל את הסיסמה פעם אחת, ואת מה שיוצא מהערבול לערבל, ואת מה שיוצא מזה לערבל שוב, וכן הלאה 100 אלף פעמים... (זה ה זה לקוח משאבי עיבוד קטנים לפעם אחת, אבל מי שמנחש לא מספיק לו פעם אחת.Rainbow
פה באה ההתקפה של rainbow table שזה משהו מאוד פשוט. מכינים טבלה ובמקום לאסוף בה רק את הסיסמאות הנפוצות, שומרים לצד כל סיסמה את הערבול שלה. ערבול בודד, ערבול מאה אלף פעמים וכו' לפי השיטות הרווחות בשוק. ככה כשבאים לנחש אין צורך לעבור את הערבול על כל ניחוש, מנסים ישר עם הערכים המקושקשים הללו.
מלח...
בשביל זה צריך שהערבול יהיה ספציפי כמה שיותר לכל מקרה, במילים אחרות שכל מקרה יצטרך טבלה משלו ואז החזרנו את התוקף המנחש לקושי המקורי (כי להכין את הטבלה פעם ראשונה זה לוקח זמן באותה מידה כמו לנחש ישירות).
לכן, לפני כל הערבולים, התוכנה המצפינה מוסיפה "מלח" (salt
) לסיסמה. אם הסיסמה היא Abc123 התוכנה מוסיפה לזה טקסט, ורק אז מערבלת. ה"מלח" הזה לא סודי, כי אחרת לא יכולו גם לפתוח את ההצפנה בהינתן הסיסמה, התוקף יודע את הטקסט אבל זה מונע ממנו להשתמש בטבלה מוכנה שהתאימה לסיסמאות ללא מלח או עם מלח אחר.
גם אם התוכנה תוסיף קבוע את אותו טקסט לסיסמה, עדיין זה יגביל את הפורץ מאוד כי הוא יצטרך טבלאות ספציפיות לתוכנה הספצפית. אולם במקרה של אופיס המלח הוא אקראי, כך ששום טבלה מוכנת לא תעזור. במקרה שלנו המלח הואsaltValue="MJXPjFaEW7owXFz2jgRHZg=="
.